Badacze hakują Siri, Alexę i Google Home za pomocą wiązek laserowych

Oprogramowanie typu asystenci głosowi największych firm jest podatne na ataki z wykorzystaniem laserów, za pomocą których wprowadza się niesłyszalne, niewidoczne polecenia dla urządzeń i potajemnie sprawia, że np. otwierają drzwi, odwiedzają określone strony internetowe oraz lokalizują się, otwierają także i uruchamiają pojazdy. O nowym rodzaju ataku nazwanym Light Commands poinformował międzynarodowy zespół naukowców.

Kierowanie wiązki lasera o małej mocy w urządzenia aktywowane głosem pozwala atakującym wprowadzać własne polecenia nawet z odległości 110 m. Ponieważ systemy sterowane głosem często nie wymagają od użytkowników autoryzacji, atak może być często przeprowadzany bez konieczności podania hasła lub kodu PIN. Nawet wtedy, gdy systemy wymagają uwierzytelnienia w pewnych funkcjach, może się okazać, że hakowanie PIN typu „brute force” jest mozliwe, ponieważ wiele urządzeń nie ogranicza liczby zgadywanek, które użytkownik może wykonać. Komendy świetlne mogą być wysyłane z jednego budynku do drugiego, przez szyby, gdy wrażliwe urządzenie znajduje się w polu widzenia.

Atak wykorzystuje podatność mikrofonów wykorzystujących systemy mikro-elektro-mechaniczne (MEMS). Mikroskopijne elementy MEMS tego typu mikrofonów mimowolnie reagują na światło, jakby było ono dźwiękiem. Choć badacze testowali możliwość hakowania tylko Siri, Alexy, Google Assistant, Facebooka i ograniczonej liczby tabletów i telefonów, uważają, że wszystkie urządzenia wykorzystujące mikrofony MEMS są podatne na to zagrożenie. Badania nad Light Commands są rezultatem pracy zespołu naukowców akademickich w składzie: Takeshi Sugawara z Uniwersytetu Komunikacji Elektronicznej w Japonii oraz Uniwersytetu Michigan, Benjamina Cyra, Sary Rampazzi, Daniela Genkina i Kevina Fu.

Film wyjaśniający przebieg laserowego ataku na urządzenia głosowe:

Źródło: arstechnica.com

Mirosław Usidus